为安全访客保留一个或多个安全模块制造技术

为计算环境的安全访客保留安全模块，例如密码适配器。该保留包括将安全模块的一个或多个队列绑定到安全访客。然后，基于与预约相关的一个或多个动作来管理一个或多个队列。的一个或多个动作来管理一个或多个队列。的一个或多个动作来管理一个或多个队列。

【技术实现步骤摘要】
【国外来华专利技术】为安全访客保留一个或多个安全模块

技术介绍

[0001]一个或多个方面一般涉及计算环境内的处理，尤其涉及保护此类环境内的数据。
[0002]在计算环境中，密码元件是保护数据中的有用技术组件。可以以密码安全形式存储或传输信息，以便避免对所存储或传输的信息的未授权访问。在一些情况下，可以使用基于软件的技术来执行这样的数据保护；在其他情况下，可以使用硬件支持和安全性特定元素。这些特定元件可以被称为硬件安全模块(HSM)，其可以用作计算环境的计算机或信息传输系统的一部分。
[0003]硬件安全模块可包括特定电路以提供用于数据加密和数据解密的功能。功能还可以包括生成和存储用于访客系统(也称为访客)的密码密钥。不同访客(例如，虚拟机、虚拟服务器等)由管理程序或虚拟机管理器控制。由公共管理程序管理的不同访客可以由不同的所有者生成。传统管理程序对其托管的访客具有完全控制。具体地，管理程序具有检查甚至修改托管的访客的存储器的能力。在云环境中，管理程序及其管理员将是完全可信的。
[0004]由管理程序管理的一些访客是安全访客。安全访客是可由不是完全可信的一个或多个管理程序托管的访客。当加载时，此访客的映像将被保护，且分配给访客的资源(例如，存储器、中央处理单元(CPU)寄存器等)的内容的保护将在访客的整个寿命期间维持。访客的保护至少包括完整性保护(例如，管理程序不能恶意地改变任何访客状态)，并且此外可包括维护访客中运行的初始映像、代码和数据的机密性。支持安全访客的环境的示例包括AMD SEV(高级微设备安全加密虚拟化)和保护的计算。POWER是国际商业机器公司在至少一个管辖区域中的商标或注册商标。

技术实现思路

[0005]通过提供一种用于促进计算环境内的处理的计算机程序产品来克服现有技术的缺点并且提供附加的优点。该计算机程序产品包括可由至少一个处理电路读取并且存储用于执行方法的指令的至少一个计算机可读存储介质。该方法包括为计算环境的安全访客保留(reserve)安全模块。保留提供预约(reservation)，并且包括将用于与安全模块通信的一个或多个队列绑定到安全访客。基于与预约相关的一个或多个动作来管理一个或多个队列。
[0006]在此还描述并要求保护与一个或多个方面有关的计算机实施的方法和系统。进一步，本文还描述并可要求保护与一个或多个方面有关的服务。
[0007]通过在此描述的技术实现附加特征和优点。其他实施例和方面在本文中详细描述，并且被认为是所要求保护的方面的一部分。
附图说明
[0008]一个或多个方面被特别指出并且被清楚地要求保护作为说明书结尾处的权利要求书中的示例。从下面结合附图的详细描述中，一个或多个方面的上述目标、特征以及优点显而易见，其中：
[0009]图1A描绘了结合和使用本专利技术的一个或多个方面的计算环境的一个示例；
[0010]图1B描绘了根据本专利技术的一个或多个方面的图1A的计算环境的进一步细节；
[0011]图2描绘了根据本专利技术的一个方面的为访客(例如，安全访客)保留安全模块(例如，密码适配器)的一个示例；
[0012]图3描绘了根据本专利技术的一个或多个方面的利用密码适配器启动访客的流程的一个示例；
[0013]图4描绘了根据本专利技术的一个或多个方面的利用密码适配器终止访客的流程的一个示例；
[0014]图5描绘了根据本专利技术的一个或多个方面的向密码适配器发送请求的流程的一个示例；
[0015]图6描绘了根据本专利技术的一个或多个方面的从密码适配器获取响应的流程的一个示例；
[0016]图7A描绘了结合和使用本专利技术的一个或多个方面的计算环境的另一个示例；
[0017]图7B描绘了图7A的存储器的进一步细节；
[0018]图8描绘了云计算环境的一个实施例；以及
[0019]图9描绘了抽象模型层的一个示例。
具体实施方式
[0020]根据一个或多个方面，提供了一种用于为访客(例如，安全访客)保留一个或多个安全模块的能力。在一个示例中，安全模块是硬件安全模块(HSM)，其例如是可插拔组件或单独连接到计算机系统的组件。作为一个特定示例，硬件安全模块是密码卡或密码适配器(也称为密码适配器)；然而，存在其他示例。在一个实施例中，如果例如密码适配器在用于启动安全访客的元数据中包括的可访问的密码适配器的列表中，并且如果密码适配器未被另一安全访客保留，则密码适配器(或其他安全模块)被保留以供安全访客独占使用。
[0021]参考图1A描述了结合和使用本专利技术的一个或多个方面的计算环境的一个实施方式。在一个示例中，计算环境基于由纽约州阿蒙克的国际商业机器公司提供的z/Architecture硬件架构。z/Architecture硬件架构的一个实施例在2017年9月IBM出版物SA22
‑
7832
‑
11号第十二版的“z/Architecture操作原理”中进行了描述，其全文通过引用并入本文。IBM和z/Architecture是国际商业机器公司在至少一个管辖区域中的注册商标或商标。
[0022]计算环境还可以基于其他架构；z/Architecture硬件架构仅是一个示例。
[0023]如图1A所示，计算环境100包括，例如，以通用计算设备的形式示出的计算机系统102。计算机系统102可以包括但不限于经由一个或多个总线和/或其他连接120彼此耦合的一个或多个处理器或处理单元104(例如，中央处理单元(CPU))、存储器106(例如，系统存储器、主内存、主存储器、中央存储器或存储装置)以及一个或多个输入/输出(I/O)接口108。
[0024]总线120表示若干类型的总线结构中的任何一种或多种，包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任一种的处理器或局部总线。作为示例而非限制，这样的体系结构包括工业标准体系结构(ISA)、微通道体系结构(MCA)、增强型ISA(EISA)、视频电子标准协会(VESA)局部总线和外围组件互连(PCI)。
[0025]存储器106可包含(例如)高速缓冲存储器，例如共享高速缓冲存储器122，其可耦合到处理器104的本地高速缓冲存储器123。进一步，存储器106可以包括一个或多个程序或应用124、操作系统126和一个或多个计算机可读程序指令128。计算机可读程序指令128可以被配置成执行本专利技术的多个方面的实施例的功能。
[0026]计算机系统102还可经由例如I/O接口108与一个或多个外部装置130、一个或多个网络接口132和/或一个或多个数据存储装置134通信。示例外部设备包括用户终端、磁带驱动器、指示设备、显示器等。网络接口132使计算机系统102能够与一个或多个网络通信，诸如局域网(LAN)、通用广域网(WAN)和/或公共网络(例如，互联网)，提供与其他计算设备或系统的通信。
[0027]数据存储设备134可以存储一个或多个程序136、一个或多个计算机可读程序指令13本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于促进计算环境内的处理的计算机程序产品，所述计算机程序产品包括：至少一个计算机可读存储介质，所述至少一个计算机可读存储介质可由至少一个处理电路读取并存储用于执行一种方法的指令，所述方法包括：为所述计算环境的安全访客保留安全模块，所述保留提供预约，并且其中所述保留包括将用于与所述安全模块进行通信的一个或多个队列绑定到所述安全访客上；以及基于与所述预约相关的一个或多个动作来管理所述一个或多个队列。2.根据权利要求1所述的计算机程序产品，其中，所述一个或多个动作包括终止所述安全访客，并且其中，所述管理包括从所述一个或多个队列删除一个或多个待决请求。3.根据权利要求1所述的计算机程序产品，其中，所述一个或多个队列包括至少一个请求队列，所述一个或多个动作包括向所述至少一个请求队列中的请求队列提交请求的操作，并且其中，所述管理包括确认所述安全模块被保留给所述安全访客，以及基于确认所述安全模块被保留给所述安全访客以及所述请求是由所述安全访客发出的而允许所述操作。4.根据权利要求1所述的计算机程序产品，其中，所述一个或多个队列包括至少一个响应队列，所述一个或多个动作包括从所述至少一个响应队列的响应队列中取出响应的操作，并且其中，所述管理包括确认所述安全模块被保留给所述安全访客，以及基于确认所述安全模块被保留给所述安全访客以及所述取出的操作由所述安全访客发出而允许所述操作。5.根据权利要求1所述的计算机程序产品，其中，所述一个或多个动作包括失去对所述安全模块的访问，并且其中，所述管理包括刷新所述一个或多个队列。6.根据权利要求5所述的计算机程序产品，其中，所述方法进一步包括基于失去对所述安全模块的访问而删除对所述安全模块的待决请求。7.根据权利要求5所述的计算机程序产品，其中，所述方法进一步包括基于失去对所述安全模块的访问而删除所述预约。8.根据权利要求1所述的计算机程序产品，其中，所述方法进一步包括拒绝将来自所述安全访客的请求发送至未为所述安全访客保留的队列。9.根据权利要求1所述的计算机程序产品，其中，所述方法进一步包括拒绝将响应传递给所述安全访客，所述响应是从未为所述安全访客保留的队列中取出的。10.根据权利要求1所述的计算机程序产品，其中，所述方法进一步包括基于访客尝试访问未为所述访客保留的队列，将错误代码返回至所述访客。11.如权利要求1所述的计算机程序产品，其中，所述方法进一步包括确定所述安全模块是否在用于启...

【专利技术属性】
技术研发人员：R布恩德根，V厄本，R基斯利，J布拉德伯里，T亨德尔，H弗鲁登伯格，B克洛茨，K沃纳，M塞尔夫，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：